2018: Det europæiske år for banking Trojanske
Kaspersky Labs har opdaget 900,000 angreb mod brugere i 2018 alene.
En ny form for information-at stjæle malware, der kaldes Samfundsordenen, som menes at være udført af erfarne hackere er at gøre runder på russisk underground fora.
Tirsdag, forskere William Tsing, Vasilios Hioureas, og Jérôme Segura fra Malwarebytes offentliggjort en rapport om ny malware stammen, er fundet til at være nyligt introduceret til interesserede it-kriminelle.
Oplysninger stealers som Samfundsordenen har vist sig at være populære i hurtig-brand-angreb, phishing, er på grund af deres evne til at indfange oplysninger, herunder maskinen data, browser historie, nogle gemte adgangskoder, afhængigt af, hvordan og hvor de er begravet — og værdifulde filer.
Samfundsordenen er ikke anderledes. Den malware har “høj-niveau-funktionalitet”, og holdet siger, er på ingen måde en script kiddie indsats kastet sammen for hurtige kontanter.
I stedet Verdner er i stand til at indsamle brugerens profil data, herunder browser-oplysninger, samt påvisning af eksistensen af cryptocurrency tegnebøger, Vpn, Telegram, og Jabber. Den malware derefter cykler gennem filer og mapper på centrale PC steder for at udtrække oplysninger fra vigtige filtyper.
De data, tyveri derefter begynder, shotgun-stil, med .DOC, .DOCX, .LOG og .TXT-filer, der er af særlig interesse for malware operatører. Samfundsordenen er i stand til at få fat i en hel fil-indhold for at overføre til sin kommando-og-kontrol (C2) – server.
Det er interessant at bemærke, at de malware udviklere har ikke prøvet at sløre overførsel af data på nogen måde-i det mindste på nuværende tidspunkt. Snarere end at sende information på tværs langsomt i en tynd strøm mindre tilbøjelige til at blive bemærket, at der er en stor, stor overførsel.
Samfundsordenen ‘ s operatører kan også få fat i screenshots af offer-systemet, hvis de ønsker det og malware kommer også med et panel, der giver kunderne mulighed for at se infektion statistikker og hente stjålne data.
Se også: En grundlæggende guide til at dykke ind i the dark web
Efter endt tyveri af data, malware ikke opretholde nogen form for vedholdenhed. Der er heller ingen analyser af formerings-metode, der er inkluderet, så Verdner er i øjeblikket ikke i stand til at sprede sig på tværs af virksomhedens eller netværksbaserede miljøer.
“I modsætning til mange bank-Trojanere, at vente for offeret at logge ind på din banks websted, stealers typisk operere i en grib og gå-mode,” siger forskerne. “Det betyder, at efter infektion malware vil indsamle alle data der er behov og exfiltrate det lige med det samme. Fordi ofte er sådanne stealers er ikke-hjemmehørende (ingen vedholdenhed mekanisme), medmindre de er registreret på tidspunktet for angrebet, ofre vil være ingen–klogere, at de har været i fare.”
Samfundsordenen er skrevet i C++, men reverse engineering var ikke en let opgave. Den skadelige kode er skjult gennem indpakning funktioner og utility-klasser, med lag af separate klasser og moduler, der gør unpicking Samfundsordenen en tidskrævende aktivitet. Der er også over 100 unikke funktioner, der kaldes via separate tråde til at foretage en analyse endnu mere udfordrende.
TechRepublic: Halvdelen af online banker gør det muligt for hackere at stjæle dine penge
Den malware er blevet opdaget gennem en række forskellige distribution vektorer, herunder Trojanized apps og software, der er forklædt som hacking værktøjer og revner, en falsk Bitcoin miner, og i en drive-by-kampagne, som involverer Nedfald exploit kit.
Malwarebytes mener, at Samfundsordenen er sandsynligt, at arbejdet i tre fremtrædende hackere, der opererer på russisk fora.
Den første er “Agressor,” – også kendt som Agri_MAN — en individuel kendt for at sælge hacking værktøjer så langt tilbage som i 2011. Den erhvervsdrivende driver en butik, der tilbyder en bred vifte af Samfundsordenen bygger. Overdot, den anden hacker, har tidligere været forbundet med Arkei stealer og synes at fokusere på salg og kundeservice.
CNET: OS efter sigende ikke længere krav Huawei forbud fra Tyskland
Den tredje spiller er LordOdin, en udvikler, der er blevet spottet udstationering til at forsøge at fremvise den nye malware og dens funktioner som konkurrence til konkurrerende produkter.
Ifølge virksomheden, Verdner er blevet opfyldt “positivt” siden lanceringen i slutningen af 2018.
“Verdner er en solid stealer, der bliver distribueret i naturen,” Malwarebytes sagde. “Forfatteren og distributør er meget aktive i forskellige fora for at fremme og forsvare deres produkt mod kritikere. Samfundsordenen bliver nødt til at konkurrere mod andre stealers og differentiere sig. Men efterspørgslen efter disse produkter er høj, så kan vi forvente at se mange distributører bruge det som en del af flere kampagner.”
Tidligere og relaterede dækning
Dark web overgreb: Tyskerne ønsker at kriminalisere enhver, der udbyder en platform
Denne mørke web marked er dedikeret til at gå på kompromis med dine e-mails
The Dark Web: Hvor meget er din bank konto værd?
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre